电信类方案

第一篇：电信类方案三星以安全、稳定服务电信移动BOSSXX省移动业务支撑系统改造工作已全面结束，已经由原先的计费集中、营帐独立的模式改为大集中的模式，目前所有系统已经投入实际运行并逐步进入稳定期。各个系统均采用集中方式建设，即全省只设置一个中心，地市设置终端，通过网络接入到省中心。企业统一信息平台系统和新BOSS系统的设备均设置于省会移动XX枢纽楼机房，客服系统的排队机、坐席设置于省会XX机房。原BOSS系统设置于省会机房。为有效保证各系统机密性、完整性以及可用性的安全，实现基于策略、基于角色的安全核心保护，将进行XX省移动业务支撑网安全系统建设。一、网络环境简介lBOSS网络l企业信息平台网络l客服系统网络l经营分析网络l网管网络lMIS子网BOSS系统内部防火墙（带vpn）和企业信息平台系统对外VPN网关：包括4台核心防火墙（带VPN功能），18台地市防火墙（带VPN功能），经营分析系统、客服系统各2台防火墙（带VPN功能），企业信息平台和网管系统1台，BOSS系统和企业信息平台各约20个客户端软件。目前XX省移动计费业务网络建设基本完成。OA、客服、会计电算化等系统挂在计费网络平台上，即由移动计费网为其提供广域网平台。各系统仍然保持原有的独立性。BOSS系统所有小型机以千兆光纤方式分别连接在两个CISCO65xx交换机上，核心路由器CISCO7xxx和交换机CISCO65xx之间通过此次项目选用的VPN网关采用插连的方法，在网络上实现冗余链路，达到网络连接可靠性的目的。通过光纤交换机完成地市传输汇总与各地市路由器互联，并与老Boss系统通过完成异地容灾。将经营分析、承载平台网络、客服网络、交换网管、省会各营业厅、与集团公司互连网及与银行系统互连的网络等其它网络连接在CISCO65xx和路由器CISCO75xx上，通过在加设防火墙和启动放置在子系统内部VPN的防火墙功能达到网络安全的目的。在各地市的网络连接中，分别在与省中心CISCO72xx和CISCO72xx路由器后加入VPN，启动其上的防火墙功能，在必要时使用其上的入侵检测功能做必要的安全防护。二、方案简介三星为XX省移动提供了NXG系列防火墙产品来满足对BOSS系统的数据加密，安全传输，防火墙功能及内置入侵检测的需求。本方案中我们建议在省中心机房采用4台千兆型防火墙，在每个地市中心采用2台百兆型型防火墙。其中2台百兆防火墙在旧BOSS处，2台防火墙在新BOSS处，都进行高可用性设计，以保证中心端的不间断性，每个地市也都采用两台2NXG100进行高可用结构，保证地市端和中心端的线路通畅。采用了高速加密芯片的NXG产品，可以进行3DES高速加密。NXG采用168位3DES加密算法，SHA-1和MD5算法，在XX省移动枢纽机房进行的实际环境下的测试表明，在开启了VPN、IDS等功能后，整个传输效率损耗低于11%，中心端效率的损失也没有超过3%。完全可以保证XX省移动的实际需求。1、必要性目前XX省移动的整个BOSS系统及其各地的采集点都是通过XX省移动的内网进行明文传输的。在这种模式下，所有重要的业务数据都是不经过任何保护措施的，移动内部的任何用户都有条件监听到这些数据，并可以通过黑客工具对这些数据进行分析破解甚至篡改，而这类工具是在Internet中可以非常容易获得的。通过VPN进行了3DES加密后的业务数据具有168位高加密程度，目前最高级的计算机对这种加密算法进行破解时，也至少需要一个月以上的时间，也就是说即使有人企图对业务数据进行窃取或篡改，也要花费几个月甚至更长的时间，这时这些数据已经存储进BOSS主机中，并进行了相应的处理。由于丧失了实效性，这些业务数据对我们来说已经丧失了重要性，即使被破解也已经无关紧要。信息安全不仅要保证数据在传输过程中的安全，也要保证保存数据的主机的安全，采用防火墙不仅可以满足对业务主机的访问控制，以防止不必要的内网用户对BOSS主机的访问，也可以防止来自内部网络的网络病毒和各种攻击，比如近日正在爆发的冲击波等病毒，都是不断的利用网络中的一些服务协议进行广播，如果BOSS主机不进行相应的防范，必然会造成的这种攻击：轻则增加BOSS服务器无谓的系统负担，重则会破坏BOSS服务器的操作系统而引发重大事故，对移动公司造成重大的损失。由于BOSS业务是移动公司最重要的业务系统，决不能出现停机和中断，所以不仅VPN设备必须达到电信级网络设备和路由设备的高稳定性，还必须采用双机设备或高可用性等冗余设计，以保证7×24小时的不间断运行。2、方案拓扑三、特点说明Internet网关是XX省移动内网同Internet进行连接的唯一通道，来自Internet的各种攻击和非法访问请求多不胜数，所以在Internet网关处配置高性能防火墙显然是必须